在威胁建模中的发现了多个 攻击向量（attack vectors），要如何操作（优先顺序）才能解决攻击面？

优先顺序需要基於一些标准。通常基於风险敞口对风险进行优先级排序，同时考虑风险的可能性和影响。
例如，风险可能性为70％，估计损失为100,000美元，则风险敞口为70,000美元。
建议的顺序如下：

1. 计算每个攻击向量的风险暴露
2. 对攻击向量进行优先级排序
3. 评估并确定要解决的攻击面范围
4. 提交变更请求以修改建筑设计
   

攻击向量(Attack Vector)
在威胁建模中，威胁场景可以表示为攻击向量，它是“攻击用来访问漏洞的整个路径的一部分”。（NIST SP 800-154）

攻击面(Attack Surface)
信息系统的攻击面是“使这些系统更容易受到网络攻击的暴露区域”。（NIST SP 800-53 R4）
暴露区域是可访问区域，通常是输入和输出的接口点，信息系统中的弱点或不足为攻击者提供了利用漏洞的机会。
简而言之，攻击面是已识别攻击向量的总和。

参考
. CISSP实践问题– 20200423

资料来源： Wentz Wu QOTD-20201123